Las élites políticas en España están nerviosas, a los más de cincuenta espiados por parte del Centro Nacional de Inteligencia (CNI) entre los que se incluyen políticos de vertiente independentista y altos cargos del poder judicial, se suma ahora el Presidente de España, Pedro Sánchez, y una de sus Ministras, Margarita Robles.
Los hackers han sustraído al menos 2,6 GB de datos del iPhone de Pedro Sánchez, durante el año 2021, aunque se desconoce la sensibilidad de los datos sustraídos. Un duro varapalo para los entes encargados de la seguridad digital en el Gobierno de España, e incluso para Apple como fabricante de los dispositivos.
¿Qué datos han robado del iPhone de Pedro Sánchez?
Según han explicado fuentes oficiales del Gobierno de España, el iPhone del Presidente fue objeto de una infección con el archiconocido programa de espionaje Pegasus, y en 2021 sufrió el robo de 2,6 GB de información entre la que se incluyen alrededor de 15.000 documentos y unas 1.000 fotografías. En un segundo intento durante el mismo año 2021, el Presidente de España fue objeto de un nuevo robo, en esta ocasión cobrándose únicamente 130 MB de datos, probablemente porque los equipos gubernamentales encargados de la seguridad digital del Gobierno ya conocían los hechos y el Sr. Pedro Sánchez procedió a dar un uso más coherente, de acuerdo con su cargo, a su iPhone.
Lo más preocupante es el hecho de que se hayan sustraído alrededor de 15.000 documentos, ya que el iPhone sólo cataloga como tales aquellos realizados mediante procesadores de texto o en formato PDF. Todo apunta a que la principal fuente de los datos es la aplicación de mensajería instantánea WhatsApp, aunque desde las fuentes oficiales del Gobierno no descartan que hayan sufrido filtraciones también de contactos o SMS.
El hecho que hace pensar que WhatsApp ha sido la fuente principal de los datos es que Margarita Robles, la Ministra de Defensa, no hace uso de la popular aplicación de mensajería instantánea propiedad de Facebook, y por tanto, en su caso sólo consiguieron sustraer 9 MB de datos, una cantidad notoriamente inferior a la del Presidente.
¿Cómo han hackeado al del Presidente de España?
Pegasus es la herramienta de spyware encargada de esta filtración o hackeo de datos cuya última víctima ha sido el Presidente. Lanzado en 2016 por NSO Group, una compañía israelí que se está haciendo de oro con la venta y puesta a disposición de este software, estaba (en teoría) únicamente disponible para los gobiernos.
El secretismo se cierne alrededor de Pegasus, no se conoce su interfaz de usuario ni los pormenores de sus mecanismos de ataque, sin embargo, según NSO Group, Pegasus sólo necesita un número de teléfono y se encargará de realizar los ataques de forma constante, aprovechando no sólo las vulnerabilidades de los sistemas operativos disponibles en el mercado, atacando indistintamente a iOS o Android, sino que se centra también en las posibles puertas que abren las distintas aplicaciones instaladas en el smartphone como WhatsApp.
La forma más habitual de entrada de Pegasus en los dispositivos móviles es aprovechando precisamente distintos SMS con el modelo phising, mientras que iMessage y WhatsApp también sufren de numerosas vulnerabilidades.
En el caso de WhatsApp, por ejemplo, el spyware se adentra en el dispositivo a través de una llamada a través de la aplicación, de hecho, ni tan siquiera es necesario que el usuario descuelgue dicha llamada, lo que supone una auténtica barbaridad en términos de seguridad y privacidad.
Pegasus aprovecha su constante evolución y crecimiento. Una vez infectado el dispositivo, los atacantes se hacen con el control a distancia de los termianles y obtienen toda la información necesaria, de hecho se pueden incluso grabar y filtrar llamadas telefónicas, como le ocurrió a Jeff Bezzos, el hombre más rico del mundo y dueño de Amazon.
Según NSO Group esta herramienta está únicamente al alcance de los gobiernos, a pesar de ello, las fuentes oficiales indican que la infección sufrida por Pedro Sánchez se debe a un agente externo.
Ponemos nuestra herramienta al alcance de los Gobiernos con el fin de prevenir atentados terroristas, desarticular redes de pedofilia, sexo y tráfico de drogas, localizar a niños desaparecidos y secuestrados, localizar a supervivientes atrapados bajo edificios derrumbados y proteger el espacio aéreo contra la penetración perturbadora de peligrosos drones
Sin embargo, son 63 ya las distintas personalidades entre políticos y jueces los espiados con Pegasus en España durante el año 2021.
¿Es el iPhone más seguro contra Pegasus?
Como bien sabéis, el Gobierno español decide renovar constantemente su gama de dispositivos tecnológicos y los miembros del Congreso de los Diputados utilizan todos iPhone, iPad y Mac cortesía de todos los contribuyentes.
Aunque esta noticia se haya popularizado especialmente al tener involucrado a un iPhone, la realidad es que el iPhone no es más seguro que el resto de dispositivos en cuanto a Pegasus, no así con el resto de agentes externos, que encuentran un plus de seguridad en el iPhone frente a Android. Mientras tanto, Pegasus utiliza diversos métodos de acceso como phising, redes WiFi no verificadas o vulnerabilidades de WhatsApp, algo contra lo que Apple no puede luchar a través de su propio sistema operativo.
El mismo Emmanuel Macron, Presidente de la República de Francia, fue objeto del spyware Pegasus durante el año 2017 a través de su teléfono personal, otro iPhone. Más polémicos fueron los casos de Cecilio Pineda y Jamal Khashoggi, periodistas cuyos dispositivos fueron infectados con Pegasus y posteriormente murieron en extrañas circunstancias.
Los ciudadanos comunes no nos tomamos suficientemente en serio la seguridad de nuestros dispositivos móviles, eso es una evidencia, sin embargo, cabe esperar que los altos cargos y entes representativos de nuestro país sí pongan algo más de empeño en proteger su privacidad dada la sensibilidad de la información que manejan. Sin embargo, no parece que esto suceda, y acceder al teléfono de Pedro Sánchez o Jeff Bezos no es más difícil que hackear el iPhone de tu vecino Paco.
A mi sólo me queda una verdadera curiosidad respecto al hackeo de Pedro Sánchez… ¿cuáles serán los stickers favoritos del presidente en WhatsApp?